GM-T 0109-2021 清晰版 基于云计算的电子签名服务技术要求

ICS35.030CCSL80中华人民共和国密码行业标准基于云计算的电子签名服务技术要求Tv2021-10-18发布2022-05-01实施国家密码管理局发布Ⅰ 2规范性引用文件 3术语和定义 4缩略语 5基于云计算的电子签名服务一般架构 5.1架构模型 5.2服务模式 6依赖方技术要求 7签名方技术要求 7.1总体要求 7.2本地数据保护 7.3身份鉴别 7.4通信数据保护 7.5密钥管理 7.6电子签名的确认与控制 8云签名服务技术要求 8.2建设要求 8.3电子签名服务要求 8.4运行支撑要求 8.5安全审计要求 附录A（资料性）几种典型的云签名服务模式 ⅢGM／T0109—2021本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位：北京数字认证股份有限公司、数安时代科技股份有限公司、三未信安科技股份有限公司、长春吉大正元信息技术股份有限公司、中金金融认证中心有限公司、中国电力科学研究院有限公司、北京金奥博数码信息技术有限责任公司、杭州天谷信息科技有限公司、浙江汇信科技有限公司、北京国富安电子商务认证有限公司、江苏意源科技有限公司。本文件主要起草人：李向锋、林雪焰、张永强、傅大鹏、田景成、高志权、赵丽丽、谢吉华、翟峰、王新华、ⅣGM／T0109—2021引言近年来，在移动互联网和云计算等新技术的推动下，很多应用领域从业务模式到技术支撑，都发生了深刻的变化，业务越来越需要能够随时、随地开展和确认，而为保障业务合规性和安全性的电子签名技术，也应该及时适应这些变化，在这些新的场景中发挥积极作用。同时，移动互联网业务中，通过电子签名技术保证业务安全性的需求越来越多，电子签名相关应用将向移动互联网延伸。基于云计算的电子签名，是为业务提供电子签名功能的一种方式。服务方将电子签名以云服务形式提供给用户，使用户能够方便、低成本、随时随地生成各类业务所需的，具有法律效力的电子签名。通过制定本文件，能够对基于云计算的电子签名服务进行规范，从而为业务系统提供便捷可靠的电子签名能力支撑。1基于云计算的电子签名服务技术要求本文件描述了基于云计算的电子签名服务密码技术需求，提出了采用数字证书和数字签名技术实现的基于云计算的电子签名服务的密码技术要求。本文件适用于指导基于云计算的电子签名服务的建设、管理、检测和应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T15843信息技术安全技术实体鉴别GB/T20518信息安全技术公钥基础设施数字证书格式GB/T22239信息安全技术网络安全等级保护基本要求GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范GB/T25064信息安全技术公钥基础设施电子签名格式规范GB/T31168—2014信息安全技术云计算服务安全能力要求GB/T32905信息安全技术SM3密码杂凑算法GB/T32907信息安全技术SM4分组密码算法GB/T32918（所有部分）信息安全技术SM2椭圆曲线公钥密码算法GB/T35275信息安全技术SM2密码算法加密签名消息语法规范GB/T35276信息安全技术SM2密码算法使用规范GB/T36326信息技术云计算云服务运营通用要求GB/T37092信息安全技术密码模块安全要求GB/T38636信息安全技术传输层密码协议(TLCP)GB/T39786—2021信息安全技术信息系统密码应用基本要求GM/Z4001密码术语3术语和定义GM/Z4001界定的以及下列术语和定义适用于本文件。3.1数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。注：本文件中特指采用数字证书和数字签名技术实现的电子签名。3.2通过网络访问可扩展的、灵活的物理或虚拟资源池，并可按需自助获取与管理资源的模式。2GM／T0109—2021注：资源实例包括服务器、操作系统、网络、软件、应用与存储设备等。3.3云计算服务的供应方。注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络支付云计算的资源。3.4v为使用云计算服务同云服务商建立业务关系的参与方。注：本文件中云服务客户简称客户。3.5制作电子签名的实体。3.6接受云签名服务的依赖协议，独立地判断电子签名是否满足其应用的安全需求的实体。3.7为其他实体提供基于云的电子签名服务及相关服务的机构。4缩略语下列缩略语适用于本文件。CRL证书吊销列表(CertificateRevocationList)OCSP在线证书状态查询协议(OnlineCertificateStatusProtocol)5基于云计算的电子签名服务一般架构基于云计算的电子签名服务是指由云签名服务作为服务方通过云服务方式向客户提供电子签名功能，所提供的电子签名功能称为云签名。在基于云计算的电子签名服务中，各参与方通过交互，完成制作电子签名的操作。其典型技术框架如图1所示。3图1基于云计算的电子签名服务典型技术框架基于云计算的电子签名服务典型架构由云签名服务、签名方和依赖方组成，云签名服务提供用户管理服务、密钥管理服务和数字签名服务，并提供与服务相匹配的安全管理和策略管理，签名方和依赖方作为系统的用户，可通过云签名服务的交互协议或应用编程接口(API),使用云签名服务所提供的服务完成电子签名。图1中，CA认证中心作为第三方支撑服务，用于向签名者提供电子认证服务并对数字证书进行全生命周期管理。图1中，各部分的功能介绍如下：—签名方在基于云的电子签名活动中，将电子签名功能或电子签名功能的一部分委托云签名服务完成，而签名方使用终端、应用程序或应用系统对制作电子签名的过程进行控制和确认；—依赖方通过判断签名方或云签名服务提供的电子签名及相关数据有效性来进行后续业务操作；—云签名服务提供电子签名服务以及相关的用户管理、密钥管理等服务，同时应为云签名服务提供运行支撑。云签名服务以云服务的方式提供，具备云服务按需服务、泛在接入、资源池化、快速伸缩性、服务可计量方面的特性要求。5.2服务模式根据业务场景的不同，云签名服务可以采用不同的模式对外提供服务。常见的服务模式如下。—协同签名模式：指签名方和云签名服务端各自保存一部分密钥分量，通过密码协议交互产生最终签名结果。详见A.1。—代理签名模式：指签名方将密钥托管在云签名服务端，在需要进行电子签名时，授权云签名服务端为其完成签名操作。详见A.2。6依赖方技术要求依赖方应使用密码模块完成与基于云计算的电子签名过程以及验证签名过程相关的密码功能，密码模块应通过商用密码检测认证，满足GB/T37092中与业务相匹配安全级别的要求。密码模块应支4GM／T0109—2021持依赖方验证电子签名功能，验证电子签名过程应满足GB/T25064的要求。若电子签名功能需要由依赖方发起，密码模块应提供云签名服务接入功能所需的密码功能。7签名方技术要求签名方可使用密码模块完成基于云计算的电子签名所需的密码功能。若使用密码模块，该模块应要求。7.2本地数据保护签名方应对本地的关键配置数据、敏感数据进行完整性保护和机密性保护。签名方与云签名服务通信时，应支持对云签名服务身份进行鉴别，应按照云签名服务的接入要求声明自身身份。7.4通信数据保护签名方与云签名服务通信时，应按照云签名服务的接入要求进行通信数据保护。7.5密钥管理在使用协同签名模式进行电子签名时，签名方应支持在密码模块内部产生签名密钥的客户端分量，支持密钥分量存储和安全使用。7.6电子签名的确认与控制在电子签名过程中，签名方应对电子签名的相关数据进行确认，并通过交互对签名过程进行控制。若内容确认与签名交互采用密码模块，应满足如下要求：的验证确认协同过程是否正常完成。8云签名服务技术要求云签名服务提供者应建设用于云签名服务的基础设施，设计云签名服务的网络环境和计算环境，实现具备云服务特性的电子签名服务以及相关的用户管理、密钥管理等服务，同时应为云签名服务提供运行支撑。在云签名服务的建设、运行和服务过程中，应满足GB/T22239中与业务安全要求相匹配的级别要求，满足GB/T31168对云服务安全能力的要求和GB/T39786对密码应用安全的要求。云签名服务提供者应建设和部署与业务安全级别相匹配的物理环境、基础设施、网络环境和计算环5GM／T0109—2021境，满足GB/T39786对物理环境、网络和通信、设备和计算安全的要求。应通过部署密码模块、密码设备、密码产品或采用第三方密码服务等方式，提供电子签名活动所需的密钥管理、密码运算。所使用的密码模块、密码设备、产品和服务应满足以下要求：检测认证；c8.3电子签名服务要求8.3.1.1密码算法和密码技术的要求在基于云的电子签名服务中，所采用的密码算法和密码技术、密码协议应符合密码国家标准、行业标准，其中可使用的密码算法包括：cGBSM4云签名服务所形成的电子签名数据应符合GB/T25064或GB/T35275的要求。对于需长期保存的电子签名，电子签名中应包含时间戳和签名时刻的证书状态信息如CRL、OCSP响应信息等。如电子签名需要第三方认证，基于云计算的电子签名服务应采用合法的第三方电子认证机构所颁发的数字证书。云签名服务可与CA对接实现用户数字证书的管理。数字证书格式应遵循GB/T20518。云签名服务应支持签名方用户注册到云签名服务中。若存在依赖方发起签名的场景，应支持依赖方用户注册到系统。具体要求如下：信息；云签名服务应对注册的签名方用户或依赖方用户信息进行审核，确认其是否符合云签名服务的策略要求。用户激活时，云签名服务应为签名用户产生用于电子签名的密钥。产生密钥的过程要求详见8.3.3.2。在协同签名模式下，云签名服务应与签名方进行密钥协商，产生用户签名公钥。用户激活后，6GM／T0109—2021用户可使用此密钥向第三方电子认证机构申请数字证书。云签名服务应支持用户自主对其自身的信息进行查询、维护和管理。云签名服务应支持对用户进行注销。云签名服务应提供满足GB/T39786中与业务安全级别要求相匹配的签名密钥管理功能，包括密钥产生、密钥存储、密钥使用、密钥备份／恢复、密钥销毁等过程以及运营、运维过程中所需的密钥迁移等，并满足在电子签名过程中密钥由签名者唯一控制的要求。云签名服务为用户产生密钥时，应首先对用户进行基于密码技术的身份鉴别，并通过访问控制确认用户操作是否被允许，确认无误后为用户产生密钥。云签名服务应保证密钥产生过程之间相互隔离，应在日志中记录密钥产生过程，并生成审计信息，审计信息应包括密钥使用的主体、使用的时间等，应保证日志和审计信息不可篡改、不可删除、不可伪造。对不同签名模式的签名，其密钥产生应满足以下要求。程中，应保证密钥、密钥分量不以明文形式出现在非专用密码设备的内存或网络中。云签名服务应支持存储用户签名密钥或签名密钥的服务端分量，其中私有密钥应加密存储，公开密钥应以数字证书形式存储。应保证用户密钥之间存储隔离。用户签名密钥或签名密钥服务端分量应在用户的授权和控制下使用，仅对用户许可的数据进行签名。具体要求如下。过云签名服务与签名方分别对待签名数据进行处理保证服务端签名活动只针对特定数据。协议签名过程应保证客户端密钥分量不进行合并，不通过网络传递密钥分量，并保证密钥分量不能通过网络传输的数据计算得到。者身份、待签名内容、签名时间等信息相关，认证通过后在密码设备或密码模块中完成签名。式出现在非专用密码设备的内存中或网络上。7GM／T0109—2021间等，应保证日志和审计信息不可篡改、不可删除、不可伪造。云签名服务应提供密钥更新服务，密钥更新需要销毁原有密钥并产生新的密钥，申请新的数字证书。密钥的更新应在满足身份认证和访问控制的安全要求下进行。基于云计算的电子签名服务应制定明确的密钥备份策略，采用安全可靠的密钥备份恢复机制，对密钥进行备份或恢复。其中，系统密钥的备份与恢复应符合GB/T25056的要求。用户签名密钥的密文可采用数据库备份／恢复的方式来进行。密钥备份或恢复应进行记录，并生成审计信息，审计信息应包括备份或恢复的主体、备份或恢复的时间等。如果用户选择终止云签名服务，应支持销毁用户密钥或用户密钥的服务端分量。密钥销毁应符合GB/T25056的要求。8.3.4电子签名过程安全要求在用户产生密钥并获得数字证书之后，云签名服务应支持以云服务方式提供制作电子签名的功能。云签名服务接收签名方或依赖方所发起的电子签名请求，经鉴别和确认无误后，在签名者的确认和控制下进行。电子签名功能应保证用户对签名密钥的唯一控制。云签名服务在接收到签名请求后，应对请求来源进行鉴别，具体要求如下：电子签名服务过程应使用用户密钥服务端分量或完整的用户密钥进行签名并按约定的格式返回：8.3.4.4签名过程安全控制在电子签名过程中，云签名服务应为用户提供各种安全控制措施。1)云签名服务对签名方签名行为设置错误计数机制和错误计数上限，当用户签名错误达到错误计数上限则停止为其提供电子签名服务，并提供错误计数清零机制；2)云签名服务应具备识别客户端部分签名结果重放和篡改的能力。括但不限于：8GM／T0109—20211)云签名服务对签名方身份鉴别和签名授权行为设置错误计数机制，设定错误数上限，当鉴别和授权错误达到错误计数上限则停止为其提供电子签名服务，并提供错误计数清零机制；2)云签名服务应具备识别认证和授权数据重放和篡改的能力。8.3.5数据安全要求云签名服务应通过密码技术，对云签名活动涉及的用户数据进行安全保护，应满足GB/T39786—2021的7.4中与业务安全要求相匹配级别的要求和GB/T31168的要求，并满足以下要求：c8.3.6电子签名服务接入要求云签名服务接收到服务请求后，应对请求者身份进行鉴别。云签名服务应支持对签名方和依赖方的请求采用不同的身份鉴别机制，身份鉴别可采用GB/T15843规定的机制。云签名服务应设置访问控制策略，用户的状态和权限，根据不同的请求类型和不同的请求来源，确定如何响应其请求。云签名服务应采用安全通道与访问者进行通信，例如GB/T38636中定义的传输层密码协议。安全通道应对通信内容进行机密性保护和完整性保护。云签名应根据请求类型和不同的请求来源进行相应的处理。请求类型应包括但不限于用户管理、8.4运行支撑要求云签名服务提供者应按照GB/T36326要求，对服务相关的人员、流程、资源、技术等要素以及与之相关的场地、网络、数据等方面内容进行规划和管理。包括：云签名服务提供者应建立安全运维支撑体系，对服务所涉及的各种资源、日志、事件、漏洞以及安全等要素进行维护，以保证云签名服务的服务质量、服务能力和服务安全性。应确保在签名过程中运维人员不可操作用户密钥。8.5安全审计要求云签名服务应提供安全审计功能，对涉及系统安全的行为、人员、时间的日志记录进行跟踪、统计和9分析。安全审计应符合GB/T31168—2014第11章的要求，并满足以下要求：名行为是用户发起、控制和确认的，从而保证用户对密钥的控制权；户相关的报警信息告知用户。GM／